Av. Zeki Demirci
Av. Zeki DemirciSoruNº 115Kişisel Verilerin Korunması

KVKK Veri İhlali Bildirimi Nasıl Yapılır?

KVKK veri ihlali bildirimi süreci: 72 saat kuralı, Kurula bildirim formu, ilgili kişilere bildirim yükümlülüğü ve idari para cezası riskinin kapsamı.

Av. Zeki DemirciKVKK ve Dijital ReklamPaylaş:XLinkedIn

KVKK Veri İhlali Bildirimi Nasıl Yapılır?

İlgili hizmet sayfası → Fikri Mülkiyet Avukatı: Marka, telif, haksız rekabet ve dijital hukuk uyuşmazlıkları için hizmet sayfası.

Kısa cevap: KVKK veri ihlali bildirimi, veri sorumlusu tarafından ihlalin öğrenilmesinden itibaren 72 saat içinde Kişisel Verileri Koruma Kuruluna yapılır. Dayanak KVKK md. 12/5'tir; 72 saatlik süre Kurulun 24.01.2019 tarihli ve 2019/10 sayılı ilke kararıyla belirlenmiştir. İhlalden etkilenen kişilere de en kısa sürede ayrıca bildirim yapılır.


1. Hangi Olaylar Veri İhlali Sayılır

KVKK md. 12/5, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesini bildirim yükümlülüğüne bağlar1. Siber saldırı, fidye yazılımı, yanlış alıcıya gönderilen e-posta, çalınan dizüstü bilgisayar, yetkisiz çalışan erişimi ve yanlış yapılandırılmış veri tabanı tipik ihlal senaryolarıdır.

Belirleyici ölçüt verinin üçüncü kişilerce ele geçirilip geçirilmediğidir. Salt sistem arızası veya erişim kesintisi, veri dışarı sızmadıkça bildirim yükümlülüğü doğurmaz. Şüpheli durumda olayın kapsamı belgelenerek değerlendirme kayıt altına alınmalıdır.


2. Kurula Bildirim: 72 Saat Kuralı

Kurulun yerleşik uygulamasında bildirim, ihlalin öğrenilmesinden itibaren kesintisiz 72 saat içinde yapılır. Süre olayın gerçekleştiği andan değil, veri sorumlusunun ihlali öğrendiği andan başlar. 72 saat içinde bildirim yapılamıyorsa gecikmenin gerekçesi bildirimle birlikte Kurula sunulur.

İnceleme devam ederken sürenin dolması bekletme sebebi değildir. Eldeki bilgiyle bildirim yapılır; eksik kalan hususlar tamamlandıkça ek bilgi verilir. Kurul bu kademeli bildirimi kabul eder.

Önemli: 72 saatlik süre teknik incelemenin bitmesini beklemez. Uygulamada en sık hata, "önce olayı tam aydınlatalım" yaklaşımıyla sürenin kaçırılmasıdır. Geç bildirim, ihlalin kendisinden bağımsız bir yaptırım sebebidir.


3. Bildirim Formu ve İçeriği

Bildirim, Kurumun internet sitesinde yayımlanan Kişisel Veri İhlali Bildirim Formu ile yapılır. Formda ihlalin gerçekleşme ve öğrenilme tarihi, etkilenen kişi ve kayıt sayısı, etkilenen veri kategorileri, ihlalin olası sonuçları ve alınan güvenlik önlemleri açıklanır.

VERBİS kaydı bu yükümlülüğün yerine geçmez. Sicile kayıt ayrı bir yükümlülüktür; ihlal bildirimi, sicil kaydından bağımsız olarak her veri sorumlusu için geçerlidir. Formun bir örneği ve ekleri, olası bir Kurul incelemesine karşı şirket içinde saklanmalıdır.


4. İlgili Kişilere Bildirim

Kurula bildirim yeterli değildir; ihlalden etkilenen kişilere de en kısa sürede ulaşılır. Kişilerin iletişim adresi biliniyorsa doğrudan bildirim yapılır; bilinmiyorsa veri sorumlusunun internet sitesinde ilan gibi uygun bir yöntem kullanılır.

Bu bildirimde ihlalin niteliği, olası sonuçları, alınan önlemler ve kişilerin başvurabileceği iletişim kanalı açık bir dille anlatılır. Teknik jargonla yazılmış, riski gizleyen bildirim metinleri Kurul incelemesinde aleyhe değerlendirilir.


5. İdari Para Cezası Riski

Veri güvenliği yükümlülüklerinin ihlali, KVKK md. 18 kapsamında idari para cezasına bağlanır. Ceza tutarlarının alt ve üst sınırları her yıl yeniden değerleme oranında güncellenir. Kurulun yerleşik uygulamasında ceza belirlenirken ihlalin kapsamı, etkilenen kişi sayısı, verinin niteliği ve veri sorumlusunun ihlal sonrası tutumu dikkate alınır.

Zamanında ve şeffaf bildirim, kusur değerlendirmesinde lehe sonuç doğurur. Bildirimi geciktiren veya hiç yapmayan veri sorumlusu, hem güvenlik ihlali hem bildirim yükümlülüğü yönünden ayrı ayrı sorumlulukla karşılaşır.


İhlal Anında İzlenecek Sıra

Uygulamada işleyen sıra şudur: İhlali tespit et ve kapsamını belgele; sızıntıyı durdur; 72 saat içinde Kurula formu gönder; etkilenen kişilere bildir; kök nedeni gider ve alınan önlemleri raporla. Bu sürecin önceden yazılı bir ihlal müdahale planına bağlanması, kriz anında süre kaybını önler. Veri işleme envanterinin ve aydınlatma metinlerinin güncel tutulması, bildirim formunun hızlı doldurulmasını sağlar.


İlgili içerikler için bkz. KVKK Aydınlatma Metni, KVKK ve Dijital Reklam, Müşteriye SMS Göndermek Yasal Mı?, Haksız Rekabet.

Dipnotlar

  1. 6698 sayılı Kişisel Verilerin Korunması Kanunu md. 12, md. 18, RG 07.04.2016/29677.

Sonraki dosya · Soru

Logomu Tasarlayan Tasarımcının Telif Hakkı Var Mı?

Dosyayı aç →